チェック・ポイント・リサーチ・チームによる2022年12 月12 日における週次のサイバーセキュリティ脅威レポートの抄訳です。
オリジナル英語版は、こちらを参照ください。
今週のTOP サイバー攻撃とセキュリティ侵害について
Check PointのIPSは、この脅威[VERN_Zoho ManageEngine ADSelfService Plus Authentication Bypass (CVE-2021-40539)]に対する防御機能を備えています。
Check PointのHarmony Endpointは、この脅威[Gen.Win.Reg.Callisto.AntiVmVirtualBox; Gen.Win.Reg.Callisto.Sandboxie]に対する防御機能を備えています。
Check PointのThreat Emulationは、この脅威[APT.Win.MustangPanda; Trojan.Wins.MustangPanda]に対する防御機能を備えています。
-
CERT-UAは、攻撃グループUAC-0140によるウクライナ鉄道輸送機構に対するフィッシング攻撃を分析しました。フィッシングメールには、イランのドローン「Shahed-136」に関する情報が含まれており、最終的にマルウェア「DolphinCape」につながったとされています。
-
イランのAPTグループ「Agrius」が、ダイヤモンド業界で使用されているイスラエルのソフトウェアスイートを悪用したサプライチェーン攻撃を実行するために、「Fantasy」と名付けられた新しいワイパーが使用されていることが確認されています。このワイパーは、「Agrius」の以前のワイパー「Apostle」をベースにしており、データワイパーとして機能し、ランサムウェアへのなりすましは行われません。
Check PointのThreat Emulationは、この脅威[Ransomeware.Wins.Apostle]に対する防御機能を備えています。
- 中国系サイバースパイAPTグループ「BackdoorDiplomacy」は、2021年8月に始まった中東の通信会社に対するキャンペーンで、ExchangeサーバのProxyShellを悪用しています。
脆弱性及びパッチについて
-
Googleは、Androidのセキュリティアップデートを公開し、Bluetooth経由で悪用されるRCEの不具合を含む4つの重大な脆弱性(CVE-2022-20472, CVE-2022-20473, CVE-2022-20411, CVE-2022-20498)を修正しました。このアップデートでは、Androidのコアコンポーネントに存在する45件以上の脆弱性と、サードパーティコンポーネントに影響する36件の脆弱性に対処しています。
- Internet Explorer のゼロデイ脆弱性 (CVE-2022-41128 ) は、北朝鮮政府が支援するグループ APT 37 (ScarCruft) によって積極的に悪用されました。 このエクスプロイトは、韓国の梨泰院(イテウォン)で最近発生したハロウィーンの祭典の際に群衆が押しつぶされて 158 人が死亡した悲劇的な事件に言及している、悪意のある docx に埋め込まれています。
Check PointのIPSは、この脅威[Microsoft Windows Scripting Languages Type Confusion (CVE-2022-41128)]に対する防御機能を備えています。
- Cisco は、最新世代の IP 電話に影響を及ぼす深刻度の高い脆弱性 (CVE-2022-20968) を公開しました。この脆弱性を利用されると、スタックオーバーフローが発生し、リモートでのコード実行やサービス拒否(DoS)攻撃を受ける可能性があります。
サイバー脅威インテリジェンスレポート
Check PointのThreat EmulationとHarmony Email and Collaborationは、この脅威に対する防御機能を備えています。
-
米国保健社会福祉省(HHS)は、ヘルスケアおよび公共医療部門を標的とするRoyalランサムウェアに関する警告を発表しました。Royalランサムウェアは、2022年9月に初めて観測された、二重の恐喝攻撃を使ってデータを盗む、金銭的動機のある集団です。
-
サイバー研究者は、新しいJanicabの亜種を使用するDeathstalkerマルウェアを特定しました。このマルウェアは、2020年を通じて、中東の法律事務所や金融機関を標的とする脅威アクターによって使用されていました。最近では、中東および欧州の旅行代理店に対するキャンペーンで使用されました。
-
イランの国家グループNemesis Kitten(別名DEV-0270、PHOSPHORUS)はDrokbkマルウェアを使用しており、GitHubを「デッドドロップ リゾルバー」として活用しC2通信を隠蔽しています。
-
サイバー研究者は、IoTデバイスの複数の脆弱性を悪用する、「Zerobot」と呼ばれる斬新なGoベースのボットネットを発見しました。このボットネットは、さまざまなプロトコルを攻撃し、自己増殖することができます。このボットネットは、WebSocketプロトコルを使用してコマンド&コントロールサーバと通信を行います。